Los actores de amenazas apuntan a los usuarios de VMware vCenter Server

VMware ha lanzado una serie de parches que abordan varias vulnerabilidades en sus productos vCenter Server (versiones 6.5, 6.7 y 7.0) que deben aplicarse de inmediato, ya que las ramificaciones para los usuarios son graves y ya se conocen los actores maliciosos. estar husmeando.

Los parches abordan un total de 19 vulnerabilidades, enumeradas aquí por conveniencia, de las cuales la más grave parece ser CVE-2021-22005, una vulnerabilidad de carga de archivos a la que se le ha asignado una puntuación básica CVSSv3 crítica de 9,8.

Un actor de amenazas con acceso de red al puerto 443 en vCenter Server podría aprovechar esta vulnerabilidad para ejecutar código en vCenter Server cargando un archivo especialmente diseñado. Tenga en cuenta que esta vulnerabilidad no está presente en la versión 6.5.

Otras vulnerabilidades con puntuaciones CVSSv3 de 8 y superiores incluyen CVE-2021-21991, una vulnerabilidad de escalada de privilegios local; CVE-2021-22006, una vulnerabilidad de omisión de proxy inverso; y CVE-2021-22011, una vulnerabilidad de punto final de API no autenticado. Estas vulnerabilidades fueron descubiertas y reveladas a VMware por George Noseevich y Sergey Gerasimov de SolidLab, y Hynek Petrak de Schneider Electric.

“Estas actualizaciones solucionan una vulnerabilidad de seguridad crítica y su respuesta debe considerarse de inmediato”, dijo Bob Plankers de VMware en una publicación de blog.

“Las organizaciones que practican la gestión del cambio utilizando las definiciones de ITIL de tipos de cambio lo considerarían un ‘cambio de emergencia’. Todos los entornos son diferentes, tienen diferente tolerancia al riesgo y tienen diferentes controles de seguridad y defensa en profundidad para mitigar el riesgo, por lo que la decisión sobre cómo proceder depende de usted. Sin embargo, dada la gravedad, le recomendamos encarecidamente que actúe “.

Algunas de las otras vulnerabilidades con puntuaciones más bajas aún podrían ser útiles para un atacante que ya ha obtenido acceso a la red de una organización y no deben descartarse.

VMware ha puesto a disposición un recurso central para los afectados por las vulnerabilidades de vCenter Server, al que se puede acceder aquí.

Jake Moore de ESET comentó: “A medida que los actores de amenazas mejoran su velocidad para reaccionar a las vulnerabilidades del mundo real, se recomienda encarecidamente actuar rápidamente para actualizar con el antídoto para estas fallas antes de que sea demasiado tarde.

“Aunque no hay informes actuales sobre ninguna explotación, esto puede cambiar sin previo aviso en tiempos de adversarios muy sofisticados que buscan aprovechar debilidades no reparadas. Además, y para una protección adicional, cualquier acceso a la red a la infraestructura crítica idealmente solo debería realizarse a través de una VPN “.

Chris Sedgewick, director de operaciones de seguridad de Talion, agregó: “Debido a su prevalencia global, VMWare es una plataforma lucrativa para que los atacantes apunten, y recientemente los exploits de VMWare han sido extremadamente populares, con grupos sofisticados respaldados por el estado y servicios de inteligencia que los utilizan para ayudar en la ejecución exitosa de sus campañas.

“En mayo, se reveló un exploit similar en vCenter después de que grupos de amenazas rusos lo explotaran. Por lo tanto, es especialmente importante que los usuarios tomen medidas rápidas siguiendo rápidamente las acciones recomendadas e implementando las actualizaciones de seguridad para VMWare “.

Leave a Comment